O SSH assume como padrão o localhost apenas para encaminhamento, porque o SSH é apenas o mensageiro no encaminhamento: ele não adiciona verificações adicionais sobre o encaminhamento. Assim, se o serviço que está sendo encaminhado não realizar suas próprias verificações de autorização ou limitação de taxa, etc., ele pode ser hackeado ou DoSed se for permitido conexões de todos na mesma rede que o ponto de encaminhamento (que pode até ser a Internet inteira! ). Portanto, habilite apenas GatewayPorts e ligação a interfaces visíveis externamente se o próprio serviço encaminhado estiver suficientemente seguro (o que deve ser no seu caso, já que você já está expondo-o).
Como um conto preventivo, há alguns anos, enquanto brincava com VMs, eu tinha o próprio SSH encaminhado de uma VM para o meu laptop host ligado a todas as interfaces. A VM foi pwned enquanto em WiFi público por causa das senhas fracas e descartáveis que eu estava usando então. (Eu sabia que (a) parei de ligar a todas as interfaces e (b) aprendi a sabedoria de não permitir o login baseado em senha.)